2021年中国网络安全报告.pdf

《2021年中国网络安全报告.pdf》由会员分享，可在线阅读，更多相关《2021年中国网络安全报告.pdf（50页珍藏版）》请在咨信网上搜索。

北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 目录 一、恶意软件与恶意网址.2（一）恶意软件.2（二）恶意网址.7 二、移动安全.8（一）2021 年手机病毒概述.8（二）2021 年 1 至 12 月手机病毒 Top5.9（三）2021 年手机漏洞 Top5.10 三、企业安全.10（一）2021 年重大企业网络安全事件.10（二）2021 年漏洞分析.19（三）2021 年全球 APT 攻击事件解读.24（四）2021 年勒索软件分析.34 四、趋势展望.41（一）APT 组织及攻击活动越来越多被披露.41（二）勒索软件持续危害企业安全.41（三）电子邮件依然是网络入侵的主要窗口.41（四）基础软件安全性备受关注，供应链“投毒”逐渐递增.41（五）高可利用性的漏洞备受攻击者青睐，“老”漏洞不会很快退出历史舞台.41（六）传统威胁检测手段进一步面临考验，人工智能技术应用增多.42 附：2021 年国内重大网络安全政策法规.42 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 1 报告摘要 2021 年瑞星“云安全”系统共截获病毒样本总量 1.19 亿个，病毒感染次数 2.59 亿次，病毒总体数量比 2020 年同期下降了 19.66%。广东省病毒感染人次为 2,614 万次，位列全国第一，其次为江苏省及山东省，分别为 1,870 万次及 1,835 万次。2021 年瑞星“云安全”系统共截获勒索软件样本 32.22 万个，感染次数为 62.4 万次；挖矿病毒样本总体数量为 485.62 万个，感染次数为 184.11 万次。勒索软件感染人次按地域分析，广东省排名第一，为 5.79 万次；挖矿病毒感染人次按地域分析，新疆以 22.12 万次位列第一。2021 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 6,279 万个，其中挂马类网站 4,366 万个，钓鱼类网站 1,913 万个。在中国范围内排名第一位为河南省，总量为 31.53万个，其次为北京市和广东省，分别为 17.76 万个和 17.35 万个。2021 年瑞星“云安全”系统共截获手机病毒样本 275.6 万个，病毒类型以信息窃取、资费消耗、远程控制、流氓行为等类型为主，其中信息窃取类病毒占比 43.72%，位居第一。2021 年重大企业安全事件包括：Incaseformat 蠕虫病毒爆发，致多数用户磁盘数据被删除；加拿大无线通信设备制造商 Sierra Wireless 遭勒索攻击，工厂中断生产；伊朗核设施遭遇网络攻击；美国最大成品油管道运营商遭勒索软件攻击；Apache Log4j2 惊现高危漏洞等。2021 年 CVE 漏洞利用率 Top10 包括：CVE-2017-11882 Office 远程代码执行漏洞；CVE-2017-17215 HG532 远程命令执行漏洞；CVE-2017-0147 Windows SMB 协议漏洞 MS17-010 等；年度最热漏洞有 CVE-2021-44228 Apache log4j2 远程代码执行漏洞；CVE-2021-40444 MSHTML 远程代码执行漏洞；CVE-2021-26855 服务端请求伪造漏洞等。2021 年全球 APT 攻击事件解读：威胁组织 Darkside；威胁组织 Patchwork；威胁组织 Lazarus Group；威胁组织 Transparent Tribe；威胁组织 SideWinder 和威胁组织 APT-C-23。2021 年勒索软件分析：越来越多的威胁组织在勒索同时，采取文件窃取的方式来“绑架”企业的隐私文件，以历史攻击事件梳理来看这确实卓有成效，大大提高了勒索软件敲诈赎金的成功几率。并且越来越多的攻击组织或不法分子选择运用勒索软件即服务（RaaS）这一模式进行攻击，这让不具备专业技术知识的犯罪分子可以轻而易举地发起网络敲诈活动。趋势展望：APT 组织及攻击活动越来越多被披露；勒索软件持续危害企业安全；电子邮件依然是网络入侵的主要窗口；基础软件安全性备受关注，供应链“投毒”逐渐递增；高可利用性的漏洞备受攻击者青睐，“老”漏洞不会很快退出历史舞台；传统威胁检测手段进一步面临考验，人工智能技术应用增多。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 2 一、恶意软件与恶意网址一、恶意软件与恶意网址 （一）恶意软件（一）恶意软件 1.1.20212021 年病毒概述年病毒概述 (1)(1)病毒疫情总体概述病毒疫情总体概述 2021 年瑞星“云安全”系统共截获病毒样本总量 1.19 亿个，病毒感染次数 2.59 亿次，病毒总体数量比 2020 年同期下降了 19.66%。报告期内，新增木马病毒 8,050 万个，为第一大种类病毒，占到总体数量的 67.49%；排名第二的为蠕虫病毒，数量为 1,652 万个，占总体数量的 13.85%；后门、灰色软件、感染型病毒分别占到总体数量的 8.75%、5.47%和 3.76%，位列第三、第四和第五，除此以外还包括漏洞攻击和其他类型病毒。图：2021 年病毒类型统计 (2)(2)病毒感染地域分析病毒感染地域分析 报告期内，广东省病毒感染人次为 2,614 万次，位列全国第一，其次为江苏省及山东省，分别为 1,870 万次及 1,835 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 3 图：2021 年病毒感染地域分布 Top10 2.2.20212021 年病毒年病毒 TopTop1010 根据病毒感染人数、变种数量和代表性综合评估，瑞星评选出 2021 年 1 至 12 月病毒 Top10：北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 4 3.3.勒索软件和挖矿病毒勒索软件和挖矿病毒 勒索软件和挖矿病毒在 2021 年依旧占据着重要位置，报告期内瑞星“云安全”系统共截获勒索软件样本 32.22 万个，感染次数为 62.4 万次；挖矿病毒样本总体数量为 485.62 万个，感染次数为184.11 万次。瑞星通过对捕获的勒索软件样本进行分析后发现，Blocker 家族占比 49.39%，成为第一大类勒索软件，其次是 Agent 家族，占到总量的 25.61%，第三是 GandCrab 家族，占到总量的 10.85%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 5 图：2021 年勒索软件家族分类 勒索软件感染人次按地域分析，广东省排名第一，为 5.79 万次，第二为江苏省 5.5 万次，第三为山东省 5.27 万次。图：2021 年勒索软件感染地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 6 挖矿病毒在 2021 年依然活跃，瑞星根据病毒行为进行统计，评出 2021 年挖矿病毒 Top10：挖矿病毒感染人次按地域分析，新疆以 22.12 万次位列第一，重庆市和北京市分别位列二、三位，为 17.46 万次和 11.28 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 7 图：2021 年挖矿病毒感染地域分布 Top10 （二）恶意网址（二）恶意网址 1.1.20212021 年年全球恶意网址全球恶意网址概述概述 2021 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 6,279 万个，其中挂马类网站 4,366 万个，钓鱼类网站 1,913 万个。美国恶意 URL 总量为 1,222 万个，位列全球第一，其次是印度尼西亚 767.07 万个和中国 180.41 万个，分别排在二、三位。图：2021 年全球恶意 URL 地域分布 Top10 2.2.20212021 年中国恶意网址概述年中国恶意网址概述 报告期内，瑞星“云安全”系统所截获的恶意网址（URL）在中国范围内排名，第一位为河南省，总量为 31.53 万个，其次为北京市和广东省，分别为 17.76 万个和 17.35 万个。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 8 图：2021 年中国恶意 URL 地域分布 Top10 二、移动安全二、移动安全 （一）（一）20212021 年手机病毒概述年手机病毒概述 2021 年瑞星“云安全”系统共截获手机病毒样本 275.6 万个，病毒类型以信息窃取、资费消耗、远程控制、流氓行为等类型为主，其中信息窃取类病毒占比 43.72%，位居第一；其次是资费消耗类病毒占比 25.53%，第三名是远程控制类病毒占比 10.01%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 9 图：2021 年手机病毒类型比例 （二）（二）20212021 年年 1 1 至至 1212 月手机病毒月手机病毒 Top5Top5 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 10 （三）（三）20212021 年年手机漏洞手机漏洞 Top5Top5 三、企业安全三、企业安全 （一）（一）20212021 年重大企业网络安全事件年重大企业网络安全事件 1.1.IncaseformatIncaseformat 蠕虫病毒爆发，致多数用户磁盘数据被删除蠕虫病毒爆发，致多数用户磁盘数据被删除 2021 年 1 月 13 日，Incaseformat 蠕虫病毒爆发。瑞星公司接到大量用户求助，这些用户电脑非系统盘中的所有文件均被删除。根据瑞星安全研究院分析发现，这是一个名为 Incaseformat 的蠕虫病毒所致，该蠕虫病毒主要通过 U 盘等方式进行传播，当其感染 U 盘后，U 盘下的原文件夹将被隐藏，病毒会伪装成原文件夹。一旦用户再插入受感染 U 盘就会误以为真，点击运行后，病毒就会感染除 C 盘之外其他磁盘上的文件夹，并在指定时间段内删除系统中 C 盘之外磁盘上的所有数据。经过分析，这并不是一个新病毒，瑞星杀毒软件在 2013 年就可以查杀，本次突然发作是因为病毒内存在时间开关。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 11 图：瑞星拦截查杀 Incaseformat 蠕虫病毒 2.2.新加坡电信巨头近新加坡电信巨头近 1313 万客户信息遭泄露，涉身份证号等万客户信息遭泄露，涉身份证号等 2021 年 2 月 17 日，新加坡知名电信公司新电信（Singtel）在其官网发布消息称，由第三方供应商 Accellion 提供的名为 FTA 的第三方文件共享系统受到不明身份黑客的非法攻击，导致数据泄露。此次遭泄露的数据包括：约 129000 名新电信客户的个人信息，含姓名、身份证号（National Registration Identity Card，NRIC）、出生日期、手机号码、地址等隐私信息。图：新电信公司公告 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 12 3.3.加拿大无线通信设备制造商加拿大无线通信设备制造商 Sierra WirelessSierra Wireless 遭勒索攻击，工遭勒索攻击，工厂中断生产厂中断生产 2021 年 3 月 20 日，加拿大 Sierra Wireless 无线设备制造公司的 IT 系统遭到勒索软件攻击，勒索软件对Sierra的内部IT网络进行了加密，阻止员工访问与制造和计划相关的内部文档和系统，该事件导致公司在全球各地的生产基地停产。4.4.攻击者利用攻击者利用 GitHub ActionGitHub Action 在在 GitHubGitHub 服务器上挖矿服务器上挖矿 2021 年 4 月 3 日，有开发者发现，黑客滥用 GitHub Actions 功能在 GitHub 服务器上植入挖矿软件，利用 GitHub 资源来开采加密货币。据悉，自 2020 年 11 月开始，攻击者就发现了 GitHub Actions 的一个 Bug：提交含有恶意代码的 Pull Request 时，无需项目原作者同意即可运行恶意代码。一旦这些恶意 Pull Request 被提交，GitHub 系统就会读取这些代码并启动一个虚拟机，而该虚拟机就会在 GitHub 的基础架构上下载并运行加密货币挖掘软件。图：荷兰安全工程师 Justin Perdok 分享的屏幕截图 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 13 5.5.Facebook5.33Facebook5.33 亿用户数据被发布亿用户数据被发布 2021 年 4 月 7 日，国外有媒体爆料称，5.33 亿 Facebook 用户的数据，包括电话号码、Facebook ID、全名、出生日期和其他信息都被发布在网上。安全公司哈德逊洛克（hudsonrock）的首席技术官阿隆加尔在推特上发布了这个数据。加尔公布了受影响用户的国家名单，根据他的名单，美国有3230 万受影响用户，英国有 1150 万。Facebook 解释，公司无法判断是哪些用户的信息被泄露，无法通知到个人，并表示用户自身也解决不了问题，没有告知的必要。图：某黑客论坛公布了超过 5.33 亿 Facebook 用户数据 6.6.伊朗核设施遭遇网络攻击伊朗核设施遭遇网络攻击 2021 年 4 月 13 日，据国外媒体报道，位于德黑兰以南的伊朗核设施遭到了网络攻击。伊朗负责核安全的相关负责人 Ali Akbar Salehi 称，此次网络攻击的目标为 Natanz 核设施，在此次袭击发生的前两天，伊朗刚刚发布新的浓缩铀设备。由于该设备不仅可以用于浓缩核电使用的铀原料，亦可以用于生产武器级浓缩铀，美国科学家联合会表示此离心机可能引起非常严重的核武器扩散问题。有关于此次网络攻击事件，Salehi 认为这是针对伊朗正常核计划的“恐怖袭击”。7.7.美国最大成品油管道运营商遭勒索软件攻击美国最大成品油管道运营商遭勒索软件攻击 2021 年 5 月 7 日，美国最大成品油管道运营商 Colonial Pipeline 公司的工业控制系统遭到攻击组织 DarkSide 的网络攻击，该事件导致 Colonial Pipeline 公司被迫中断了东部沿海主要城市输送油气的管道系统运营。而后，该公司向负责该事件的 DarkSide 网络攻击组织支付了 500 万美元的赎金，此次攻击影响让长达 5500 英里的管道所服务的许多市场出现燃料短缺。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 14 图：Colonial Pipeline 公司官方声明 8.8.美国核武器承包商美国核武器承包商 Sol OriensSol Oriens 遭遭 REvilREvil 勒索软件攻击勒索软件攻击 2021 年 6 月初，有消息披露，美国能源部(DOE)分包商与国家核安全局(NNSA)合作开发核武系统的 Sol Oriens 公司遭到了 REvil 勒索软件攻击，该公司称其主要协助国防部、能源部、航空航天承包商和技术公司开展复杂的项目。REvil 团伙正在拍卖攻击期间窃取的数据，其中包括业务数据和员工信息，例如员工社会安全号码、招聘概览文件、工资单文件和工资报告等。Sols Oriens 也证实了其在 2021 年 5 月遭到了网络攻击，可能已经泄露部分数据。图：REvil 勒索软件的暗网数据网站中 Sol Oriens 公司被盗数据的信息 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 15 9.9.伊朗交通部门连续遭到网络攻击伊朗交通部门连续遭到网络攻击 2021 年 7 月 10 日，伊朗道路和城市发展部遭到网络攻击，门户网站无法运行。此前一天，伊朗铁路公司也遭到网络攻击。网络安全公司 SentinelOne 的研究人员在一份新报告中重建了对伊朗火车系统的网络攻击并发现了一种新的威胁因素，他们将其命名为 MeteorExpress，这是一种以前从未见过的 wiper。据报道，wiper 可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。10.10.技技嘉遭勒索软件攻击嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开黑客威胁称不支付赎金就公开 112GB112GB内部数据内部数据 2021 年 8 月 7 日消息，硬件厂商技嘉表示，公司于本周二晚上遭到勒索软件攻击，但没有对生产系统产生影响，因为攻击的目标是位于总部的少量内部服务器。技嘉表示由于安全团队的迅速行动，服务器已从备份中恢复并重新上线，但事件远未结束。援引外媒 The Record 报道，勒索软件团伙 RansomExx 对本次攻击负责，该团伙声称拥有 112GB 的数据，其中包括技嘉和 Intel、AMD 和American Megatrends 的机密通信。该组织威胁要公开所有内容，除非技嘉愿意支付赎金。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 16 图：黑客威胁要在暗网上发布超过 112GB 的商业数据 11.11.T T-MobileMobile 遭黑客入侵致用户资料外泄，受影响人数增至遭黑客入侵致用户资料外泄，受影响人数增至53005300 万万 2021 年 8 月 16 日，美国移动通信运营商 T-Mobile US 披露，因黑客入侵导致用户资料外泄，受影响人数增至 5300 万。T-Mobile 指出，美国联邦通信委员会（FCC）已经就该事件展开调查。T-Mobile 本周较早时估计，资料外泄用户数量超过 4000 万个，其中包括 780 万名现有客户。外泄的资料包括用户姓名、出生日期、电话号码，但信用卡等个人财务资料则没有外泄。12.12.南非司法部网络系统遭到黑客攻击陷入瘫痪南非司法部网络系统遭到黑客攻击陷入瘫痪 2021 年 9 月 6 日，勒索软件攻击并加密了南非司法和宪法发展部所有系统，导致内部和公众无法使用所有电子服务。南非司法和宪法发展部发言人 Steve Mahlangu 表示：“（攻击）导致所有信息系统被加密，内部员工以及公众都无法使用。因此，该部门提供的所有电子服务都受到影响，包括签发授权书、保释服务、电子邮件和部门网站。”Mahlangu 表示，该部的 IT 专家已经发现“没有数据泄露的迹象”。到目前为止，还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 17 图：南非司法部官方说明 13.13.欧洲呼叫中心巨头分部遭勒索软件欧洲呼叫中心巨头分部遭勒索软件攻击攻击，多个关基组织客服，多个关基组织客服中断中断 2021 年 9 月，欧洲规模最大客户服务与呼叫中心供应商之一 Covisian 公司的西班牙与南美洲分部 GSS 遭遇勒索软件攻击，其大部分 IT 系统瘫痪，面向西班牙语区客户群体的呼叫中心应声沦陷。一位了解内情的消息人士表示，受到影响的呼叫中心用户包括移动运营商西班牙沃达丰、电信运营商 MasMovil、马德里市供水公司、多家电视台及私营企业。母公司 Covisian 的一位发言人表示，此次攻击出自 Conti 勒索软件团伙之手。14.14.加拿大多省医疗卫生系统因网络攻击而中断加拿大多省医疗卫生系统因网络攻击而中断 2021 年 10 月 30 日，加拿大纽芬兰省和拉布拉多省均遭受网络攻击，导致中央卫生局、东部卫生局、西部卫生局和拉布拉多-格伦费尔地区卫生局等多地医疗卫生系统发生严重的网络中断，数千个医疗预约被迫取消。受网络中断影响，医生无法访问医疗中心数据库，只能采取纸质化方式办公；受影响的医疗中心也被迫取消了化疗、X 光扫描、手术和其他专科医疗服务的预约，仅保留了疫苗接种和急危重症患者收治服务通道。此外，网络中断还引发了多地通讯瘫痪，有患者称无法打通医疗急救中心电话。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 18 15.15.美国美国 FBIFBI 服务器遭黑客入侵！超服务器遭黑客入侵！超 1010 万人收到虚假邮件万人收到虚假邮件 2021 年 11 月 13 日，隶属于美国司法部的情报机构，美国联邦调查局（FBI）邮件系统遭到黑客入侵。黑客使用 FBI 的电邮账号发送了超过 10 万封虚假电子邮件，并警告可能将发生网络攻击事件。FBI 指出，发送虚假邮件的电子邮箱域名看上去似乎是 FBI 的官方邮箱，且邮件的署名为美国国土安全部。FBI 表示，黑客攻击造成的软件漏洞目前已被修复。图：联邦调查局就虚假电子邮件事件发表声明 16.16.Apache Log4j2Apache Log4j2 惊现高危漏洞惊现高危漏洞 2021 年 11 月 24 日，阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。Apache Log4j2 是一个基于 Java 的日志记录工具，该工具重写了 Log4j 框架，并且引入了大量丰富的特性，Apache Log4j-2 是 Log4j 的升级版，这个日志框架被大量用于业务系统开发，用来记录日志信息。在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中，而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包，最终触发远程代码执行。17.17.战网遭受战网遭受 DDoSDDoS 攻击攻击 暴雪表示服务已恢复正暴雪表示服务已恢复正常常 2021 年 11 月 25 日,暴雪表示旗下战网服务正遭到 DDoS 攻击。在推特上，官方说此次攻击会导致玩家遇到高延迟或是断线，并表示正在尽全力缓解问题。宣布遭受攻击 1 小时后，官方发推称正在试图缓解的 DDoS 攻击已经结束，玩家应该可以再次正常登录战网。在服务器检测网站DownDetector 上，动视暴雪的许多服务和产品都出现了服务器断线报告，有数千人报告战网掉线，同时也有数百人表示部分暴雪游戏服务断线。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 19 图：暴雪官方公告 18.18.ITIT 服务商服务商 InetumInetum 遭遭 BlackcatBlackcat 勒索软件攻击勒索软件攻击 2021 年 12 月下旬，法国 IT 服务商 Inetum Group 遭勒索软件攻击，官方声明攻击并不涉及大型基础设施，只影响了法国的部分业务，且公司立刻采取行动保护敏感数据，未出现数据泄露。官方声明没有提及遭哪个勒索软件组织攻击，但法国出版物 LeMagIt 的主编透露此次攻击为之前报告的今年最复杂勒索软件 Blackcat 组织所为。（二）（二）20212021 年漏洞分析年漏洞分析 1.1.20212021 年年 CVECVE 漏洞利用率漏洞利用率 TopTop1010 报告期内，从收集到的病毒样本分析来看，利用最多的漏洞依然是微软 Office 漏洞。CVE-2017-11882、CVE-2018-0802、CVE-2017-0199 得益于漏洞稳定性、易用性和用户群体广泛性一直是钓鱼邮件攻击者首选的利用漏洞。诸如 Patchwork、SideWinder、Donot 等 APT 组织以及 Emotet、AgentTesla等间谍软件、银行木马也都十分善于利用这些 Office 漏洞实现对受害目标群体的广泛攻击。CVE-2017-0147 Windows SMB 协议漏洞（MS17-010 永恒之蓝漏洞）在 2017 年爆发，至今已经过去 4 年时间，然而它仍是目前被病毒利用最多的安全漏洞之一。该漏洞之所以有着居高不下的利用率，也正是由于在大多数企业内网环境中依然存在大量的终端设备尚未修复该漏洞，进入内网环境的病毒程序仍可透过该漏洞轻松地在内网环境中传播。Log4j2 远程代码执行漏洞(CVE-2021-44228)可以说是引爆 2021 年安全行业的重大事件。Apache Log4j2 是 Apache 开源的项目，是一款优秀的 Java 日志框架，用来记录日志信息，在各类 Java 项目中应用十分广泛。12 月 9 日晚 Log4j2 爆出严重漏洞，其相关利用被公开并迅速地在网络上扩散，引起各国高度重视，一时间全球近一半企业与之相关的业务均受到该漏洞的影响，同时也出现了诸如比利时国防部被不法分子利用 Log4j 漏洞进行攻击等事件。瑞星根据漏洞被黑客利用程度进行分析，评选出 2021 年 1 至 12 月份漏洞 Top10：北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 20 1.1 1.1 CVECVE-20172017-1188211882 OfficeOffice 远程代码执行漏洞远程代码执行漏洞 该漏洞又称公式编辑器漏洞，2017 年 11 月 14 日，微软发布了 11 月份的安全补丁更新，悄然修复了潜伏 17 年之久的 Office 远程代码执行漏洞 CVE-2017-11882。该漏洞为 Office 内存破坏漏洞，影响目前流行的所有 Office 版本，攻击者可以利用漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块 EQNEDT32.EXE 中，该模块为公式编辑器，在 Office 的安装过程中被默认安装，该模块以 OLE 技术将公式嵌入在 Office 文档内。由于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环境中执行任意命令。1.2 1.2 CVECVE-20172017-17215 HG53217215 HG532 远程命令执行漏洞远程命令执行漏洞 2017 年 11 月份 Check Point 团队报告了国内某产品的远程命令执行漏洞(CVE-2017-17215),漏洞原理是利用 upnp 服务器中的注入漏洞来实现远程执行任意代码，已发现的针对该漏洞的攻击利用是 Mirai 的升级变种。1.1.3 3 CVECVE-20172017-0147 Windows SMB0147 Windows SMB 协议协议漏洞漏洞 MS17MS17-010010 2017 年 5 月份 Shadow Brokers 公布了他们从 Equation Group 窃取的黑客工具，其中包含“永 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 21 恒之蓝”等多个 MS17-010 漏洞利用工具。MS17-010 对应 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多个 SMB 漏洞。这份工具的泄露直接导致了后来 WannaCry 病毒的全球爆发，包括中国在内的至少 150 多个国家，30 多万用户中招，金融、能源、医疗等众多行业皆受影响，据统计其造成损失高达 80 亿美元。此后各种利用 MS17-010 漏洞的病毒疯狂增长，影响深远。1.4 CVE1.4 CVE-20182018-08020802 公式编辑器漏洞公式编辑器漏洞 此漏洞与它的上一代 CVE-2017-11882 一脉相承，同属于 Microsoft Office 中的 EQNEDT32.EXE公式编辑器的漏洞。该漏洞又被称为“噩梦公式”,源于对象在内存中的处理不当（微软 Office 内存破坏漏洞），当用户打开特制的嵌有公式编辑器对象的 Office 文档时会直接触发漏洞导致任意代码执行。1.5 1.5 CVECVE-20162016-7255 Win32k7255 Win32k 特权提升漏洞特权提升漏洞 CVE-2016-7255漏洞是一个Windows内核提权漏洞，影响：Microsoft Windows VistaSP2，Windows Server 2008SP2 和 R2SP1，Windows7 SP1，Windows8.1，Windows Server 2012 Gold 和 R2，WindowsRT8.1，Windows10 Gold，1511，1607，Windows Server 2016。攻击者可利用该漏洞在内核模式下执行任意代码。多个 APT 组织在攻击活动中使用了该内核提权漏洞进行攻击。1.6 1.6 CVECVE-20172017-0199 Microsoft Office0199 Microsoft Office 逻辑漏洞逻辑漏洞 此漏洞主要是 Word 在处理内嵌 OLE2Link 对象，并通过网络更新对象时没有正确处理 Content-Type 所导致的一个逻辑漏洞。该漏洞利用 Office OLE 对象链接技术，将包裹的恶意链接对象嵌在文档中，Office 调用 URL Moniker 将恶意链接指向的 HTA 文件下载到本地，URL Moniker 通过识别响应头中 content-type 的字段信息最后调用 mshta.exe 将下载到的 HTA 文件执行起来。1.7 1.7 CVECVE-20182018-2025020250 WinRARWinRAR 目录穿越漏洞目录穿越漏洞 UNACE.DLL 是 WinRAR 所使用的一个陈旧的动态链接库，用于处理 ACE 格式的文件，该动态链接库在 2006 年被编译，没有任何防护措施。WinRAR 在解压处理 ACE 格式的文件的过程中存在一处目录穿越漏洞，该漏洞允许解压过程中向任意目录写入文件，利用该漏洞可以向开机启动目录中写入恶意文件导致机器开机时执行恶意代码。1.81.8 CVECVE-20112011-24622462 远程代码执行漏洞远程代码执行漏洞 Windows 和 Mac OS X 上的 Adobe Reader 和 Acrobat 10.1.1 及更早版本以及 UNIX 上的 Adobe 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 22 Reader 9.x 至 9.4.6 中的 U3D 组件中存在未指定的漏洞，允许远程攻击者通过未知载体执行任意代码或导致拒绝服务(内存损坏)，正如在 2011 年 12 月被广泛利用的那样。1.9 1.9 CVECVE-20122012-0158 0158 Microsoft OfficeMicrosoft Office 栈溢出漏洞栈溢出漏洞 此漏洞主要是在 MSCOMCTL.OCX 模块中,一段内存拷贝代码由于逻辑错误导致栈缓冲区溢出的漏洞。该漏洞常在各类 APT 攻击活动中被利用，通过生成一个精心构造的恶意 RTF 文件可以使攻击者通过该漏洞在 RTF 文件被打开时执行任意代码。1.10 1.10 CVECVE-20062006-0003 0003 RDS.DataspaceRDS.Dataspace 远程代码执行漏洞远程代码执行漏洞 RDS.Dataspace ActiveX 控件中存在未指明的漏洞，它包含在 ActiveX 数据对象(ADO)中并分布在 Microsoft 数据访问组件(MDAC)2.7 和 2.8 中，允许远程攻击者通过未知的攻击媒介执行任意代码。2.2.20212021 年最热漏洞分析年最热漏洞分析 2.1 2.1 CVECVE-20212021-44228 Apache log4j244228 Apache log4j2 远程代码执行漏洞远程代码执行漏洞 2021 年 12 月 9 日晚 Apache log4j2 被曝出远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。该漏洞无需配置，且Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。Apache Log4j2 是一款流行的Java 日志记录工具，该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。2.2 2.2 CVECVE-20212021-40444 MSHTML40444 MSHTML 远程代码执行漏洞远程代码执行漏洞 2021 年 9 月 7 日，微软发布了 Windows IE MSHTML 中的一个远程代码执行漏洞。攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office 文档使用，成功诱导用户打开恶意文档后，可在目标系统上以该用户权限执行任意代码。微软称该漏洞可通过 Office 365 和Office2019 在受影响的 windows 10 主机上下载和安装恶意软件。2.3 2.3 CVECVE-20212021-2706527065 Exchange Exchange 任意文件写入漏洞任意文件写入漏洞 2021 年 3 月微软官方发布了 Microsoft Exchange 安全更新修复了任意文件写入漏洞，攻击者 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 23 可结合 CVE-2021-26855 SSRF 漏洞，或提供正确的 administrator 凭证，构造恶意请求，在系统上写入任意文件。2.4 2.4 CVECVE-20212021-2685526855 服务端请求伪造漏洞服务端请求伪造漏洞 2021 年 3 月微软官方发布了 Microsoft Exchange 安全更新修复 Exchange 服务器端请求伪造（SSRF）漏洞，利用此漏洞的攻击者可构造恶意请求，发送任意 HTTP 请求并通过 Exchange Server进行身份验证。2.5 2.5 CVECVE-20212021-1675 Windows1675 Windows 打印服务提权漏洞打印服务提权漏洞 2021 年 6 月初微软官方发布 Windows 打印服务(Windows Print Spooler)的提权漏洞。未经身份验证的远程攻击者可利用该漏洞以 SYSTEM 权限在域控制器上执行任意代码，从而获得整个域的控制权。2.6 2.6 CVECVE-20212021-4137941379 Windows InstallerWindows Installer 权限提升漏洞权限提升漏洞 2021 年11 月 9 日微软发布了CVE-2021-41379 的安全补丁。该漏洞是 Windows 操作系统存在的一个特权提升漏洞，漏洞源于 Windows Installer 服务存在一些特定的缺陷，攻击者可以利用此漏洞在 SYSTEM 上下文中创建联结，提升当前账户的低级管理权限。2.7 2.7 CVECVE-20212021-34527 Windows34527 Windows 打印服务漏洞打印服务漏洞 2021 年 7 月初微软官方发布了一个存在于 Windows 打印服务(Windows Print Spooler)的高危漏洞。Windows Print Spooler 是 Windows 的打印机后台处理程序，利用该漏洞，攻击者可以使用一个低权限用户（包括 guest 用户）,对域控发起攻击，进而控制整个内网。2.8 2.8 CVECVE-2 2021021-36934 Windows36934 Windows 特权提升漏洞特权提升漏洞 2021 年 7 月由微软公开的 Windows 提权漏洞，该漏洞是由于对多个系统文件（包括安全帐户管理器(SAM)数据库的访问控制列表(ACL)过于宽松，存在特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码，然后攻击者可以安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 24 2.9 2.9 CVECVE-20212021-2685826858 Microsoft Exchange ServerMicrosoft Exchange Server 远程代码执行漏洞远程代码执行漏洞 该漏洞主要来自 Exchange 中身份验证后的任意文件写